Bundesamt für Sicherheit in der Informationstechnik

Einfallstor für Infektionen: Schadprogramme kommen auf vielen Wegen

Cyber-Kriminelle versuchen, fremde Systeme über unterschiedlichste Kanäle mit Schadsoftware zu infizieren – zum Beispiel per Dateianhang einer scheinbar vertrauenswürdigen E-Mail, als versteckte "Zugabe" bei einem Freeware-Download oder als bösartiges Makro innerhalb eines Office-Dokuments. Manchmal genügt der bloße Aufruf einer Webseite mit einem präparierten Werbebanner – und schon ist der eigene Computer mit einem Schadprogramm infiziert.

Als der PC ab den 80er Jahren in immer mehr Büros und private Haushalte einzog, gab es das Internet noch nicht. Schadprogramme konnten daher nur über austauschbare Datenträger wie Disketten oder später CD-ROMs von einem System zum nächsten gelangen. Zwar spielen auch heute noch zum Beispiel USB-Sticks oder externe USB-Festplatten eine Rolle bei der Schadsoftware-Verbreitung, doch im Always-On-Zeitalter ist das Internet eindeutig zum wichtigsten Infektionsweg geworden, über den Schadprogramme am häufigsten in fremde Systeme eindringen.

Das hat zur Folge, dass prinzipiell alle mit dem Internet verbundenen Geräte von einer Malware-Infektion bedroht sind. Neben PCs oder Laptops, Tablets oder Smartphones gilt dies unter anderem für Smart-Home-Produkte sowie Unterhaltungselektronik, die auf den ersten Blick nur noch entfernt etwas mit einem Computer zu tun haben – zum Beispiel ein Smart TV.

Angriffsziel Router

Zunehmend gefährdet sind vor allem auch Router. Denn als Schaltzentrale der meisten Heimnetzwerke dienen sie für alle anderen IP-fähigen Geräte im Heimnetzwerk als Zugangspunkt zum Internet. Dadurch werden Router für Cyber-Kriminelle interessant – wie unter anderem ein Vorfall im November 2016 zeigt: Ein weltweiter Cyber-Angriff hatte das Ziel, Router mit Schadsoftware zu infizieren und in ein globales Botnetz einzufügen.
Als Angriffsvektor nutzten die Täter ein weit verbreitetes Konfigurationsprotokoll, mit dem ein Router bequem aus dem lokalen Netz eingerichtet werden kann. Bei einigen Router-Modellen bestimmter Hersteller enthielt die Implementierung dieses Protokolls jedoch eine sicherheitsrelevante Schwachstelle: Die Router-Konfiguration ließ sich auch aus der Ferne via Internet verändern – und zwar über einen offenen Port, der in anderem Kontext üblicherweise für automatische Firmware-Updates sowie für Fernzugriffe im Rahmen des Supports von Internet-Providern verwendet wird. Darüber hinaus ermöglichte eine zweite Schwachstelle die Ausführung beliebigen Programmcodes auf dem Router. Dies bot den Kriminellen ein Einfallstor für Infektionsversuche mit einer Weiterentwicklung der Botnetz-Software Mirai. Obwohl die DSL-Router der Deutschen Telekom die eigentlichen Schwachstellen nicht aufwiesen und somit nicht mit dem Schadprogramm infiziert werden konnten, führte ein Nebeneffekt der Angriffe bundesweit bei mehr als einer Million Kunden nahezu zeitgleich zu massiven Störungen beim Internetzugang, der Internettelefonie sowie bei IP-basierten TV-Übertragungen. Die Telekom und der Gerätehersteller reagierten seinerzeit schnell und stellten innerhalb weniger Tage ein Update bereit, das dieses Problem behob.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK